arturas kerdokas - Fotolia

Cybersécurité : les parlementaires britanniques sont des cancres (et les français ?)

Les bases de l’hygiène la plus élémentaire semblent largement leur échapper. Les députés et sénateurs français font-ils mieux ?

L’épisode ne manquait pas d’ironie. Fin janvier 2015, lors du Forum International de la Cybersécurité (FIC), un membre du cabinet de ministre de l’Intérieur était vu déverrouillant son smartphone en tapant « 0000 ». Il était assis, dans la salle, au milieu du public, pendant qu’intervenait le patron d’alors de la Place Beauvau, Bernard Cazeneuve.

Une culture du partage de mots de passe

Mais jusqu’où va l’absence d’hygiène de base de sécurité informatique ? Outre-Manche, la parlementaire Nadine Dorries a déclenché une vaste polémique ce week-end après avoir admis laisser ses assistants – et même stagiaires – ouvrir des sessions sur son ordinateur professionnel, au palais de Westminster, avec compte et son mot de passe, de manière totalement habituelle. 

Nadine Dorries espérait ainsi défendre son collègue Damian Green sur l’ordinateur parlementaire duquel des contenus pornographiques auraient été découverts. Car pour elle, compte tenu de la manière dont sont utilisés les ordinateurs mis à disposition des parlementaires, il est impossible d’identifier précisément qui a fait quoi avec…

« Combinaison fatale d’arrogance, de pouvoir et d’ignorance »

Et elle n’est pas seule dans ce cas ! Le conservateur Nick Boles a ainsi indiqué demander régulièrement son mot de passe à ses collaborateurs… parce qu’il « l’oublie souvent ». Will Quince assure quant à lui laisser sa machine déverrouillée pour permettre à ses équipes de l’utiliser, expliquant simplement leur faire confiance.

James Clayton, de BBC Newsnight, assure pour sa part que la pratique est extrêmement courante parmi les parlementaires britanniques. Mais ce n’est pas faute de recommandations officielles précises… à commencer par ne pas partager des mots de passe qui se doivent d’être robustes. L’ICO, une autorité indépendante qui rapporte directement au parlement n’a pas manqué de se fendre d’un rappel à l’ordre.  

Interrogé par Rory Cellan Jones, de la BBC, un parlementaire n’a pas mâché ses mots : « la plupart des membres du parlement souffre d’une combinaison fatale d’arrogance, de pouvoir, et d’ignorance. Ce qui signifie qu’ils ne pensent pas que ces codes de conduite s’appliquent à eux ».

Cette polémique ne manque pas d’une ironie certaine. Au mois de juin dernier, une attaque qualifiée de « soutenue et déterminée » aurait conduit à la compromission des comptes de 90 parlementaires. Tout récemment, l’Iran a été accusé d’être à l’origine de l’opération. Mais compte tenu des pratiques en vigueur à Westminster, il y a de quoi douter…

Alors, un utilisateur de Twitter s’est demandé si les adresses e-mails de certains parlementaires britanniques ne figuraient pas dans les bases de comptes compromis. Pour obtenir une réponse positive pour au moins quelques-uns d’entre eux.

Et en France ?

En France, la situation est-elle meilleure ? L’exemple de ce membre du cabinet du ministre de l’Intérieur en 2015 laisse à imaginer que non. De même que le piratage des équipes de campagne d’Emmanuel Macron. Alors même si l’hémicycle a été tout récemment renouvelé, des comptes électroniques de certains de ses membres ont-ils déjà été compromis ou, à tout le moins, exposés ? La réponse est au moins positive pour François André, député d’Ille-et-Vilaine, élu pour la première fois en juin 2012, membre de la commission de la défense nationale et des forces armées. Son adresse e-mail de parlementaire figurait dans un paste de fin novembre, aujourd’hui supprimé, mais qui semblait n’avoir rien d’une innocente liste exhaustive des adresses e-mail des députés français comme il est possible d'en trouver par ailleurs - et sur le site de l'Assemblée Nationale pour commencer.

C’est également le cas des adresses d’Emilie Cariou, élue pour la première fois cette année, et vice-présidente de la commission des finances, de Virginie Hammerer, de Brigitte Kuster, de Guillaume Garot, vice-président de la commission du développement durable et de l’aménagement du territoire, et d’Olivier Faure, élu pour la première fois en 2012 et membre de la commission de la défense nationale et des forces armées. Mais cette adresse figure également parmi celles compromises dans la brèche de Dailymotion.

Pour une obligation de déclaration des identifiants numériques ?

Mais ce ne sont que quelques exemples centrés sur les adresses e-mail fournies par l’Assemblée Nationale. Celle d’Eric Ciotti ne figure dans les listes collectées par Have I been Pwned. Mais l’adresse e-mail déclarée par le député dans l’enregistrement de son nom de domaine figure parmi celles compromises dans les brèches LinkedIn et Dailymotion, notamment. Il y a bien un compte LinkedIn à son nom. Si c’est bien le sien, il n’y a plus qu’à souhaiter qu’il applique les bonnes pratiques en matière de gestion de mots de passe.

Sans laisser à penser que les députés français sont aussi laxistes que leurs homologues britanniques, ces résultats devraient inviter à la surveillance du domaine assemblee-nationale.fr à la recherche d’adresses susceptibles d’avoir été compromises, comme le permet Have I been Pwned. Et peut-être les députés – aux côtés d’autres titulaires de mandats électifs, et de personnels occupant des positions sensibles – devraient-ils avoir l’obligation de communiquer leurs identifiants numériques pour qu’une entité comme l’Agence nationale pour la sécurité des systèmes d’information (Anssi), en assure l’audit.

Pour approfondir sur Protection du terminal et EDR